ubuntu18.04.6安装配置StrongSwan5.1.1

目前成功配置执行ipsec start命令的ubuntu版本为18.04.6以及22.04，两个版本的配置过程完全相同，但是22.04版本在后续配置CA证书中发生未知错误，18.04.6正常进行，推荐优先低于18.04.6版本进行配置。

虚拟机均从清华源下载
https://mirrors.tuna.tsinghua.edu.cn/ubuntu-releases/
Vm工作站版本为17pro

虚拟机配置

选用较低版本的workstation，在进行虚拟机拷贝时可以兼容更低版本的工作站

安装vm tools（实现主机虚拟机文件拖拽）

sudo apt-get update

sudo apt-get autoremove open-vm-tools(先删除原来的vmware tools)

sudo apt-get install open-vm-tools-desktop

sudo reboot

安装必要的编译工具

sudo apt-get install build-essential

sudo apt-get install autoconf

sudo apt-get install libgmp-dev

sudo apt-get install gperf

sudo apt-get install flex

sudo apt-get install bison

sudo apt-get install vim

sudo apt-get install libpam0g-dev

合为一条命令

sudo apt-get install build-essential autoconf libgmp-dev gperf flex bison vim libpam0g-dev

新建su用户

显示无效密码不用理会
密码为：qazwsx

sudo passwd

安装特定版本的openssl（不用openssl功能模块可以跳过）

查看当前apt-get下载源节点里libssl-dev可下载安装的所有版本和默认的最合适的版本

sudo apt-cache policy libssl-dev

解压源码包

tar -xzvf openssl-1.0.2u.tar.gz

cd openssl-1.0.2u

sudo ./config shared --prefix=/usr/local/openssl

sudo make

sudo make install

将openssl加入环境变量

cd /etc

sudo vim profile

export PATH=$PATH:/usr/local/openssl/bin
export C_INCLUDE_PATH=$C_INCLUDE_PATH:/usr/local/openssl/include
export CPLUS_INCLUDE_PATH=$CPLUS_INCLUDE_PATH:/usr/local/openssl/include
export LIBRARY_PATH=$LIBRARY_PATH:/usr/local/openssl/lib
export LD_LIBRARY_PATH=/usr/local/openssl/lib:$LD_LIBRARY_PATH
export LDFLAGS="-L/usr/local/openssl/lib"
export CFLAGS="-I/usr/local/openssl/include"

source /etc/profile

sudo reboot

安装strongswan5.1.1

mkdir strongswan

cd strongswan

ls

解压源码包

tar -xzvf strongswan-5.1.1.tar.gz

cd strongswan-5.1.1

默认配置选项（不建议使用，安装成功后无法执行ipsec等相关命令）

./configure --prefix=/usr/local/strongswan --sysconfdir=/etc

./configure --prefix=/usr/local/strongswan --sysconfdir=/etc --enable-eap-identity --enable-eap-md5 --enable-eap-mschapv2 --enable-eap-tls --enable-eap-ttls --enable-eap-peap --enable-eap-tnc --enable-eap-dynamic --enable-eap-radius --enable-xauth-eap --enable-xauth-pam --enable-dhcp --enable-openssl --enable-addrblock --enable-unity --enable-certexpire --enable-radattr

sudo make

cd src/libstrongswan/utils/

ls

sudo vim utils.h

回到/strongswan目录重新make

sudo make clean

sudo make

sudo make install

cd /usr/local/strongswan

ls

ipsec start命令测试

两台虚拟机的ip地址分别为

192.168.232.134

192.168.232.135

客户端服务器配置（配置命令与conf至于文末）

服务器：

需要将生成的caCert.pem ,cakey.pem复制到客户端虚拟机相同路径下，可以使用cp命令进行操作。

使用vim命令编辑ipsec.conf文件与ipsec.secrets文件

cd ..

vim ipsec.conf

vim ipsec.secrets

客户端：

配置私钥、证书、strongSwan命令

https://blog.csdn.net/TAJIAODAVID/article/details/108859718

etc目录中存在如下配置文件：

ipsec.conf #IPsec配置文件，包括IKE版本、隧道类型、源和目的网关、私有网络等。
ipsec.secret #密钥认证配置文件，存有各种密钥。
ipsec.d #用于存放认证证书等文件
strongswan.conf #Strongswan配置文件
strongswan.d #Strongswan子配置文件

生成的CA证书放于/etc/ipsec.d/cacerts目录下

生成的服务器/客户端证书放于各自的/etc/ipsec.d/certs目录下

生成的私钥放于/etc/ipsec.d/private目录下

该文件格式错误，conn tunnel应该顶格，正确格式参照步骤截图。